Giải pháp Kiểm soát Ra vào Chống sao chép

NGÀY ĐĂNG 06/02/2026

📑 Mục lục

Trong bối cảnh các tòa nhà thông minh, khu công nghiệp và hạ tầng an ninh cao ngày càng phụ thuộc vào hệ thống Kiểm soát ra vào (Access Control), nguy cơ sao chép thẻ từđã trở thành một rủi ro an ninh nghiêm trọng. Việc một đối tượng không được cấp quyền có thể:

Vượt qua lớp kiểm soát vật lý
Tiếp cận khu vực nhạy cảm
Đe dọa tài sản, dữ liệu và an toàn vận hành

Thực tế cho thấy, nhiều sự cố an ninh không đến từ tấn công mạng phức tạp, mà bắt nguồn từ công nghệ thẻ lỗi thời và giao thức truyền dẫn không được bảo vệ.

Các công nghệ thẻ phổ biến & lỗ hổng bảo mật

Công nghệ thẻ Proximity 125 kHz

Thẻ 125 kHz Proximity từng là tiêu chuẩn phổ biến nhờ các tiêu chí như: Chi phí thấp, độ bền cao và dễ triển khai.

Tuy nhiên, về mặt bảo mật, đây là công nghệ không mã hóa. Thẻ chỉ phát UID (mã định danh cố định) dưới dạng plaintext, không có:

Xác thực hai chiều
Mã hóa dữ liệu
Cơ chế chống nghe lén hoặc phát lại

Chỉ với các thiết bị clone giá rẻ, kẻ tấn công có thể: Đọc UID từ xa, ghi lại lên thẻ trắng hay tạo bản sao mà hệ thống không thể phân biệt.

MIFARE Classic 13.56MHz

MIFARE Classic từng được xem là thẻ thông minh nhờ 3 điểm vượt trội.

Bộ nhớ phân đoạn theo Sector
Cơ chế khóa truy cập theo từng sector
Có cơ chế xác thực (Authentication)

Vậy tại sao ngày nay MIFARE Classic không còn được coi là smart card đúng nghĩa?

Crypto-1 đã bị crack hoàn toàn từ 2008
Có thể dump toàn bộ dữ liệu thẻ - clone 1:1
Nhiều hệ thống vẫn dùng key mặc định (FFFFFFFFFFFF)

Các công nghệ thẻ thông minh chống sao chép thế hệ mới

MIFARE DESFire EV1 / EV2 / EV3

Dòng MIFARE DESFire sử dụng AES-128 / AES-256, phần cứng mã hóa chuyên dụng và xác thực hai chiều.

DESFire EV3 mang lại các cơ chế chống sao chép vượt trội:

SUN (Secure Unique NFC): mã giao dịch động, chống replay attack
Proximity Check: chống relay attack (chuyển tiếp tín hiệu từ xa)
Multi-Application & Key Separation: nhiều ứng dụng - nhiều bộ khóa độc lập

HID Seos

HID Seos sử dụng kiến trúc Secure Identity Object (SIO):

Dữ liệu định danh được đóng gói, mã hóa
Xác thực lẫn nhau (Mutual Authentication)
Chuẩn bảo mật EAL5+

Ưu điểm nổi bật:

Không thể clone
Hỗ trợ Mobile Access (NFC/BLE)
Quản lý tập trung, phù hợp doanh nghiệp lớn & đa quốc gia

Giao thức truyền dẫn - Vì sao OSDP quan trọng không kém thẻ?

Trong hệ thống Access Control, thẻ có thể rất an toàn, nhưng nếu dữ liệu từ đầu đọc đến bộ điều khiển không được bảo vệ thì hệ thống vẫn có thể bị vượt qua. Đây chính là điểm yếu của chuẩn Wiegand và lý do OSDP (Open Supervised Device Protocol) trở thành tiêu chuẩn mới.

Wiegand

Dữ liệu truyền không mã hóa (plaintext)
Dễ bị sniff / replay tại dây tín hiệu
Giao tiếp một chiều, không giám sát đầu đọc

Kẻ gian có thể ghi lại mã thẻ và giả lập mở cửa không cần thẻ

OSDP Secure Channel

Mã hóa AES-128 toàn bộ dữ liệu
Giao tiếp hai chiều reader ↔ controller
Phát hiện tháo, thay đầu đọc giả
Quản lý & cấu hình đầu đọc từ xa

Vì vậy, OSDP là lớp bảo vệ bắt buộc cho các hệ thống chống sao chép thẻ hiện đại.

Đa dạng hóa khóa & Module SAM

Key Diversification - Mỗi thẻ một khóa riêng

Mỗi thẻ được sinh khóa con duy nhất từ:

Master Key
UID thẻ
Thuật toán AES

Trong trường hợp, nếu 1 thẻ bị lộ, toàn hệ thống vẫn an toàn.

SAM (Secure Access Module)

SAM là phần cứng bảo mật:

Lưu Master Key
Thực hiện mã hóa bên trong chip
Không để lộ khóa ra ngoài

Ngăn chặn rủi ro đánh cắp đầu đọc để trích xuất khóa

Mobile Access

Mobile Access sử dụng NFC hoặc BLE trên smartphone, kết hợp:

Secure Enclave / TEE
Sinh trắc học (FaceID, vân tay)
Token động

Lợi ích vượt trội

Không thể sao chép
Thu hồi quyền truy cập tức thì
Giảm chi phí vận hành dài hạn

KPS - Hệ sinh thái giải pháp An ninh tích hợp

KPS cung cấp giải pháp An ninh & Kiểm soát ra vào toàn diện cho các công trình yêu cầu mức độ bảo mật cao như: tòa nhà thông minh, khu công nghiệp, trung tâm dữ liệu, sân bay và hạ tầng trọng yếu.

Danh mục giải pháp chính:

Hệ thống Kiểm soát ra vào (ACS): Bosch, Genetec, HID, CNB
Cửa phân luồng & cửa an ninh: MAG, Kumahira
Thiết bị khóa cho Access Control: khóa điện từ, khóa chốt, khóa từ… (CNB, Tycon)
Hệ thống báo động xâm nhập (Intrusion System): Bosch, Optex

Bên cạnh đó, KPS còn hợp tác với nhiều hãng công nghệ an ninh hàng đầu khác, nhằm xây dựng hệ sinh thái giải pháp tích hợp, đảm bảo: